諮詢資料庫來源與匹配服務

可靠的資訊來源是 Docker Scout 能夠為您的軟體構件提供相關且準確評估的關鍵。由於業界的來源和方法多樣，漏洞評估結果確實可能出現差異。本頁說明 Docker Scout 諮詢資料庫及其 CVE 到軟體包的比對方法，如何處理這些差異。

諮詢資料庫來源

Docker Scout 從多個來源彙總漏洞資料。這些資料會持續更新，以確保您的安全性狀態是根據最新的可用資訊進行即時呈現。

Docker Scout 使用下列軟體包儲存庫與安全性追蹤器：

• AlmaLinux 安全諮詢 (AlmaLinux Security Advisory)
• Alpine secdb
• Amazon Linux 安全中心 (Amazon Linux Security Center)
• Bitnami 漏洞資料庫 (Bitnami Vulnerability Database)
• CISA 已知利用漏洞目錄 (CISA Known Exploited Vulnerability Catalog)
• CISA Vulnrichment
• Chainguard 安全摘要 (Chainguard Security Feed)
• Debian 安全錯誤追蹤器 (Debian Security Bug Tracker)
• 漏洞利用預測評分系統 (EPSS)
• GitHub 諮詢資料庫 (GitHub Advisory Database)
• GitLab 諮詢資料庫 (GitLab Advisory Database)
• Golang VulnDB
• 國家漏洞資料庫 (NVD)
• Oracle Linux 安全 (Oracle Linux Security)
• Photon OS 3.0 安全諮詢 (Photon OS 3.0 Security Advisories)
• Python 封裝諮詢資料庫 (Python Packaging Advisory Database)
• RedHat 安全資料 (RedHat Security Data)
• Rocky Linux 安全諮詢 (Rocky Linux Security Advisory)
• RustSec 諮詢資料庫 (RustSec Advisory Database)
• SUSE 安全 CVRF (SUSE Security CVRF)
• Ubuntu CVE 追蹤器 (Ubuntu CVE Tracker)
• Wolfi 安全摘要 (Wolfi Security Feed)
• inTheWild，一個社群驅動的漏洞利用開放資料庫

當您為 Docker 組織啟用 Docker Scout 時，Docker Scout 平台會配置一個新的資料庫實例。該資料庫會儲存您的軟體物料清單 (SBOM) 及關於映像檔的其他中繼資料。當安全諮詢針對某個漏洞提供新資訊時，系統會將您的 SBOM 與 CVE 資訊進行交叉比對，以偵測該漏洞如何影響您。

如需關於映像檔分析運作方式的更多詳細資訊，請參閱映像檔分析頁面。

嚴重性與評分優先級

Docker Scout 在決定 CVE 的嚴重性和評分時，採用兩大原則：

• 來源優先級 (Source priority)
• CVSS 版本偏好 (CVSS version preference)

針對來源優先級，Docker Scout 遵循以下順序：

1. 廠商諮詢：Scout 一律使用與軟體包和版本相符的來源所提供的嚴重性和評分資料。例如，Debian 軟體包使用 Debian 的資料。

2. NIST 評分資料：若廠商未針對 CVE 提供評分資料，Scout 將回退使用 NIST 的評分資料。

針對 CVSS 版本偏好，一旦 Scout 選定來源後，若同時提供 CVSS v4 與 v3，它會優先選用 CVSS v4，因為 v4 是更現代且精確的評分模型。

漏洞比對

傳統工具通常依賴廣泛的通用平台列舉 (CPE) 比對，這可能會導致許多誤報結果。

Docker Scout 使用軟體包網址 (PURLs) 來進行 CVE 與軟體包的比對，這能更精確地識別漏洞。PURLs 可顯著降低誤報的可能性，並僅專注於真正受影響的軟體包。

支援的軟體包生態系統

Docker Scout 支援下列軟體包生態系統：

• .NET
• GitHub 軟體包
• Go
• Java
• JavaScript
• PHP
• Python
• RPM
• Ruby
• alpm (Arch Linux)
• apk (Alpine Linux)
• deb (Debian Linux 及其衍生版)